Cómo disfrutar de Blobs en Windows Azure - miymilll - ITPUB Blogs
Para la mayoría de las personas, cuando conocen este patrón, es natural preguntarse: "¿Cómo doy a otros acceso autorizado sin afectar mi clave maestra? La solución es usar la firma de acceso compartido (SAS) en Windows Azure funciona especificando algunos parámetros de cadena de consulta, aplicando hash y luego firmando el hash en la cadena de consulta, lo que no solo crea una URL accesible única y segura, también puede demostrar que fue creada por alguien con la clave maestra. Los parámetros en la cadena de consulta incluyen:
st: La hora de inicio cuando la firma entra en vigor, es opcional, si no se proporciona, utilizará la hora actual
se: Fecha y hora de vencimiento. Todas las firmas tienen límites de tiempo. Este parámetro es obligatorio
sr: El recurso al que se aplica la firma, que puede ser un Blob o un contenedor, este parámetro también es obligatorio. /p>
sp: esta es la configuración de permisos que otorga, que incluye lectura (r), escritura (w), eliminación (d) y lista (l). Este parámetro es obligatorio. p>si: Este es el identificador o política de firma, opcional.
Sig: Este es el hash de la cadena de consulta firmada. Demuestre que fue un URI creado usando una clave maestra, este parámetro es obligatorio.
También hay una nota importante que reiterar aquí, a menos que esté utilizando un identificador firmado (me refiero a la política). De lo contrario, no hay forma de hacer que una firma creada dure más de 1 hora. Si se crea por error una URL SAS con una vida útil extra larga, no hay forma de revocar esa URL sin utilizar un identificador de firma (política); si esa URL se filtra nuevamente, los recursos que usted firme estarán abiertos al abuso durante mucho tiempo. Al limitar la vida útil máxima de su firma a 1 hora, puede controlar el período de exposición.
Si desea crear una SAS de larga duración, debe crear una política, lo cual es muy interesante porque. contiene todos los parámetros anteriores y se almacena en el servicio, lo que significa que podemos eliminar o cambiar estos permisos inmediatamente
Tomemos MyAzureStorage.com como ejemplo, después de iniciar sesión en el sitio web, selecciono la opción Blob desde la barra de navegación superior, que mostrará todos mis contenedores, luego selecciono el menú de comportamiento del contenedor y hago clic en "Administrar políticas" como se muestra a continuación.
Figura 1 Gestión de políticas de contenedor
A continuación, crearé dos políticas (identificadores de firma) denominadas "lectura" y "escritura", que tienen diferentes ciclos de vida y configuraciones de permisos. Tenga en cuenta que no especificé una hora de inicio para que las firmas entren en vigor, por lo que entrarán en vigor inmediatamente, como se muestra en la imagen a continuación.
Figura 2 Configuración de las propiedades de la política
A continuación, selecciono el menú "Comportamiento" para el blob en el contenedor y hago clic en "***Compartir", lo que me llevará a Ir a "***Blob compartido", aquí selecciono la política creada previamente en el menú desplegable de políticas (aquí se selecciona leer) y la aplico al blob como se muestra en la imagen a continuación.
Figura 3 *** Disfrute del Blob
Descubrirá que, excepto seleccionar la estrategia, otras cosas como la hora de finalización y los permisos no se pueden modificar. La estrategia es como una plantilla. Si no establece el valor de un determinado parámetro en la estrategia, aún tiene la última oportunidad de disfrutarlo. Si establece el valor de un determinado parámetro en la estrategia, no podrá. para establecer el valor de un determinado parámetro al disfrutarlo. Al modificar el valor del parámetro, solo puede modificar la política. Sólo puedes modificar la política.